.net – 使用新技术时的安全问题

您是否发现当您使用新技术时，您绝对不会确定您的代码中有什么安全漏洞？

我一直在使用ASP.Net Web窗体大约5年，我相信我的代码至少足够安全，可以阻止大多数已知的攻击。回顾我早期的许多代码，我不知不觉地在许多安全领域留下了空白，特别是查询字符串和viewstate，但是随着时间的推移，我知道漏洞是什么，并确保我没有再犯同样的错误。

不过我最近在ASP.Net MVC中开始了一个新的项目，我真的不知道我打开什么安全漏洞。只是这个原因，几乎让我不得了。我正在读书，就像疯狂的一样，但我确信我没有学到足够的东西，使它像Web表单一样安全。你们做什么来确保你不让自己开放攻击？

编辑：开始赏金好奇，看看有没有什么意见

解决方法

>记住以下几点：有三种类型的漏洞。您正在使用的框架(例如，Ruby on Rails公共控制器问题)是独一无二的，对于您构建的应用程序类型(例如Web应用程序必须担心XSS)和您的应用程序唯一的那些尤其是。
>确定您正在使用的新技术如何减轻应用程序类型的安全漏洞。例如，ASP.Net MVC如何缓解XSS？如何缓解SQL注入？如果文档中没有答案，那么就弄清楚你将如何解决这些常见类型的漏洞。此外，暂停，因为如果框架不能缓解这些问题，那么也许框架开发人员没有优先考虑安全性，并且可能没有编写非常强大的框架。
找出你为什么需要安全性和你想要保护的东西。例如：您的应用程序在查看敏感数据之前是否需要授权？如果是这样，确定框架为授权提供哪些功能。
>在文档中查找安全性部分。通常已知的问题已被记录在案，但人们非常关注如何解决问题，以免他们找不到问题。
>防守守则，并注意用户输入的使用方式。慷慨地定义什么是用户输入。例如，querystring或post字段是显而易见的，但是在许多MVC框架中，URL指示运行什么代码(例如，参见Ruby Routes漏洞)。非常了解数据的处理方式
>压力测试您的业务逻辑，并弄清楚如何可能被滥用。

简而言之：仔细处理用户输入，阅读现有文档，确定需要哪些安全性，并弄清楚框架如何缓解常见漏洞类。意识到安全是重中之重，注意力是战斗的50％。

（编辑：安卓应用网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!